Loading
0

Phpstudy被曝存在后门 2016和2018版均存在隐藏后门-附检测方法

影响版本

软件作者声明phpstudy 2016版PHP5.4存在后门

实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门

后门检测方法

通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在

1592114-20190922093418222-1284406914.png

附后门文件MD5值:

MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9

MD5: C339482FD2B233FB0A555B629C0EA5D5

使用在线计算文件md5,查看疑似后门文件的md5,发现MD5值确实是后门文件的md5值。

1592114-20190922092200166-627481093.png

1592114-20190922092704395-1755948947.png

修复方法

1)对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门

2) 可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

3)目前phpstudy官网上的版本不存在后门,可在phpsudy官网下载安装包进行更新

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请点击后面字体→到投诉版块区举报,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.seozhan.cn",如遇到无法解压的请联系管理员!